Вчера в комментариях к заметке про PostgreSQL посоветовали утилиту для бэкапа - pg_probackup. Я не знал про неё и никогда не использовал, но решил посмотреть. Оказалось, это очень удобный и надёжный вариант бэкапа баз данных PostgreSQL. Расскажу про особенности и варианты использования этой утилиты.
Авторами pg_probackup является небезызвестная компания Postgres Professional - российская компания, разработчик систем управления базами данных. Утилита поддерживает как ванильные версии postgres, так и собственные платные сборки postgres pro.
📌Pg_probackup умеет:
▪ Выполнять полные и инкрементные бэкапы как отдельных серверов, так и кластеров.
▪ Делать инкрементные бэкапы разными способами: разностное копирование, страничное копирование или копирование изменений. Разные способы дают разную нагрузку на систему и занимают разное количество времени.
▪ Выполнять контроль целостности данных и проверку резервных копий без восстановления самих данных.
▪ Управлять политиками хранения резервных копий в соответствии с заданными параметрами.
▪ Самостоятельно сжимать данные без внешних архиваторов.
▪ Работать в режиме клиент-сервер, то есть настраивается сервер хранения pg_probackup, который сам подключается к хостам с postgresql и забирает бэкапы.
▪ Отдельно поддерживает возможность бэкапа произвольных директорий и файлов. Например, директорию с конфигурацией кластера, с логами или какими-то самописными скриптами.
▪ Вести каталог резервных копий с метаданными архивов, данные о которых может отдавать в формате json.
Продукт многофункциональный, который закрывает полностью вопрос с бэкапами, политикой хранения и мониторинга. Получая информацию об архивах в json, очень легко прикрутить мониторинг к тому же Zabbix Server или Prometheus.
Как можно понять из описания, pg_probackup - универсальный инструмент, который подойдёт как для полного бэкапа одиночных баз и серверов, так и кластеров в различных режимах инкрементов. Архивы можно хранить локально или передавать по сети в единый каталог.
У утилиты есть подробное описание на русском языке. Для установки созданы репозитории под все популярные системы, в том числе отечественные.
Примеры запуска и использования приводить не буду, так как всё подробно и по-русски описано в документации. В общем случае сначала надо инициализировать каталог резервных копий, потом добавить туда сервер PostgreSQL, настроить политику хранения, запустить бэкап.
❓Напрашивается важный вопрос. А когда стоит переходить к подобным бэкапам от простых дампов. Однозначного ответа тут нет. Ориентироваться нужно по следующим признакам:
1️⃣ Вам нужна возможность откатить состояние базы на любой момент в прошлом. Тогда дампы вообще не подходят.
2️⃣ Размер базы данных такой, что выполнение дампа занимает значительное время и снижает производительность сервера.
3️⃣ Хочется иметь большую глубину хранения резервных копий, но в полных дампах она будет занимать слишком много места.
По моим прикидкам, если сжатый дамп начинает занимать более 5 Гб, стоит думать о других способах создания и хранения резервных копий БД.
Исходники / Документация
#postgresql #backup
Авторами pg_probackup является небезызвестная компания Postgres Professional - российская компания, разработчик систем управления базами данных. Утилита поддерживает как ванильные версии postgres, так и собственные платные сборки postgres pro.
📌Pg_probackup умеет:
▪ Выполнять полные и инкрементные бэкапы как отдельных серверов, так и кластеров.
▪ Делать инкрементные бэкапы разными способами: разностное копирование, страничное копирование или копирование изменений. Разные способы дают разную нагрузку на систему и занимают разное количество времени.
▪ Выполнять контроль целостности данных и проверку резервных копий без восстановления самих данных.
▪ Управлять политиками хранения резервных копий в соответствии с заданными параметрами.
▪ Самостоятельно сжимать данные без внешних архиваторов.
▪ Работать в режиме клиент-сервер, то есть настраивается сервер хранения pg_probackup, который сам подключается к хостам с postgresql и забирает бэкапы.
▪ Отдельно поддерживает возможность бэкапа произвольных директорий и файлов. Например, директорию с конфигурацией кластера, с логами или какими-то самописными скриптами.
▪ Вести каталог резервных копий с метаданными архивов, данные о которых может отдавать в формате json.
Продукт многофункциональный, который закрывает полностью вопрос с бэкапами, политикой хранения и мониторинга. Получая информацию об архивах в json, очень легко прикрутить мониторинг к тому же Zabbix Server или Prometheus.
Как можно понять из описания, pg_probackup - универсальный инструмент, который подойдёт как для полного бэкапа одиночных баз и серверов, так и кластеров в различных режимах инкрементов. Архивы можно хранить локально или передавать по сети в единый каталог.
У утилиты есть подробное описание на русском языке. Для установки созданы репозитории под все популярные системы, в том числе отечественные.
Примеры запуска и использования приводить не буду, так как всё подробно и по-русски описано в документации. В общем случае сначала надо инициализировать каталог резервных копий, потом добавить туда сервер PostgreSQL, настроить политику хранения, запустить бэкап.
❓Напрашивается важный вопрос. А когда стоит переходить к подобным бэкапам от простых дампов. Однозначного ответа тут нет. Ориентироваться нужно по следующим признакам:
1️⃣ Вам нужна возможность откатить состояние базы на любой момент в прошлом. Тогда дампы вообще не подходят.
2️⃣ Размер базы данных такой, что выполнение дампа занимает значительное время и снижает производительность сервера.
3️⃣ Хочется иметь большую глубину хранения резервных копий, но в полных дампах она будет занимать слишком много места.
По моим прикидкам, если сжатый дамп начинает занимать более 5 Гб, стоит думать о других способах создания и хранения резервных копий БД.
Исходники / Документация
#postgresql #backup
Увидел на днях новость, что вышло обновление известной программы Memtest86+. Её используют для проверки оперативной памяти на наличие ошибок. Обычно ставят на загрузочный образ и запускают, загрузившись с него. Хотел у вас поспрашивать, сталкивались ли вы в реальной работе с подобными ошибками.
У меня довольно большой опыт поддержки рабочих станций. С этого начинал, как и большинство админов. Есть общая рекомендация проверять оперативную память, когда комп зависает, падает в синий экран или ведёт себя ещё как-то странно и глючно, и не понятно, в чём конкретно проблема.
Сколько бы я вручную не проверял оперативную память, ни разу не видел реальной ошибки в её работе. За весь свой опыт ни одного случая. Обычно память либо сразу не работала, либо не работала в связке с какой-то другой памятью. А вот так, что запустил тест и увидел ошибку памяти, вообще ни разу не было.
Было пару случаев, когда на брендовых арендованных серверах срабатывали индикаторы ошибок оперативной памяти. Что конкретно там начинает глючить, не знаю. Для нормального сервера это не проблема, он просто отключает планку памяти. А потом поддержка хостера выводит сервер в обслуживание, что-то с ним делает и всё работает нормально. Меняют ли они планки или выполняют какие-то другие действия, не знаю. Может ластиком контакты трут 🤫
Интересно у вас узнать, сталкивались лично с проблемами с оперативной памятью, в чём они выражались и как вы понимали, что ошибка именно с оперативой. По моим представлениям, это очень редкий случай.
#железо
У меня довольно большой опыт поддержки рабочих станций. С этого начинал, как и большинство админов. Есть общая рекомендация проверять оперативную память, когда комп зависает, падает в синий экран или ведёт себя ещё как-то странно и глючно, и не понятно, в чём конкретно проблема.
Сколько бы я вручную не проверял оперативную память, ни разу не видел реальной ошибки в её работе. За весь свой опыт ни одного случая. Обычно память либо сразу не работала, либо не работала в связке с какой-то другой памятью. А вот так, что запустил тест и увидел ошибку памяти, вообще ни разу не было.
Было пару случаев, когда на брендовых арендованных серверах срабатывали индикаторы ошибок оперативной памяти. Что конкретно там начинает глючить, не знаю. Для нормального сервера это не проблема, он просто отключает планку памяти. А потом поддержка хостера выводит сервер в обслуживание, что-то с ним делает и всё работает нормально. Меняют ли они планки или выполняют какие-то другие действия, не знаю. Может ластиком контакты трут 🤫
Интересно у вас узнать, сталкивались лично с проблемами с оперативной памятью, в чём они выражались и как вы понимали, что ошибка именно с оперативой. По моим представлениям, это очень редкий случай.
#железо
Не зря существует поговорка: "Век живи - век учись". Буквально на днях узнал, что есть очень простой способ, как ограничить выполнение каких-то команд при подключении по SSH с аутентификацией через сертификат.
В файл authorized_keys перед самим сертификатом добавляем разрешённую команду:
И больше ничего не надо делать. Подключившийся, кроме top, ничего запустить не сможет. Команда top запустится автоматически при успешном подключении. Я просто пример привёл, как быстро протестировать возможность.
На практике это очень пригодится для служебных учётных записей, которые ходят по серверам и выполняют какие-то заскриптованные действия. Например, делают дамбы баз, запускают скрипты бэкапа и т.д. Достаточно просто добавить ограничение в виде command и учётная запись не сможет сделать ничего, кроме разрешённого.
Я знал, что можно настраивать подобные ограничения через конфиг sshd и настройку ForceCommand, но с authorized_keys всё намного проще, быстрее, нагляднее.
Возникла ещё одна идея, где это может быть удобно. Если сами настраиваете bastion host или jump host, по разному может называться. Суть в том, что только через этот хост можно подключаться к другим серверам. Можно сделать учётки, для которых будет разрешено подключение к какому-то конкретному серверу. А параметры подключения прописать сразу в command. При подключении по ssh на jump host, пользователь сразу окажется на нужном сервере. Сразу готова и система ограничения доступа, и логирования на базе sshd.
Подробнее об этой настройке можно прочитать в документации к sshd.
#ssh
В файл authorized_keys перед самим сертификатом добавляем разрешённую команду:
command="top" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAt....И больше ничего не надо делать. Подключившийся, кроме top, ничего запустить не сможет. Команда top запустится автоматически при успешном подключении. Я просто пример привёл, как быстро протестировать возможность.
На практике это очень пригодится для служебных учётных записей, которые ходят по серверам и выполняют какие-то заскриптованные действия. Например, делают дамбы баз, запускают скрипты бэкапа и т.д. Достаточно просто добавить ограничение в виде command и учётная запись не сможет сделать ничего, кроме разрешённого.
Я знал, что можно настраивать подобные ограничения через конфиг sshd и настройку ForceCommand, но с authorized_keys всё намного проще, быстрее, нагляднее.
Возникла ещё одна идея, где это может быть удобно. Если сами настраиваете bastion host или jump host, по разному может называться. Суть в том, что только через этот хост можно подключаться к другим серверам. Можно сделать учётки, для которых будет разрешено подключение к какому-то конкретному серверу. А параметры подключения прописать сразу в command. При подключении по ssh на jump host, пользователь сразу окажется на нужном сервере. Сразу готова и система ограничения доступа, и логирования на базе sshd.
Подробнее об этой настройке можно прочитать в документации к sshd.
#ssh
▶️ В копилку авторских каналов на IT тематику предлагаю добавить ещё один:
⇨ Cisco Ne Slabo / SEDICOMM TV
⇨ https://www.youtube.com/user/cisconeslabo/videos
Раньше не знал о и не смотрел, но сейчас подписался, буду следить. Практически все видео проходят в формате вебинара, где автор что-то рассказывает и делает в консоли. Из-за этого видео очень длинные и смотреть их все невозможно и не имеет смысла. Хотя по многим затрагиваемым темам есть статьи на сайте.
Видео выходят регулярно и на разные темы, так что имеет смысл посмотреть то, что вас конкретно интересует. Например, в ролике Как определить и предотвратить DDoS-атаку TCP SYN Flood при помощи Wireshark / tcpdump автор ставит HTTP сервер, wireshark, начинает сам себя ддосить и разбирать трафик. Он даёт теорию по установке TCP соединения, показывает, как анализировать трафик в Wireshark.
Вот ещё пример некоторых тем, которые лично меня заинтересовали:
◽ Как управлять сетевыми устройствами MikroTik RouterOS с помощью Python и Netmiko
◽ Как найти слабые места безопасности MikroTik с RouterOS Scanner (я как раз недавно рассказывал про этот сканер)
◽ Как выполнять автоматическое тестирование инфраструктуры с использованием pyATS и Genie
◽ Как настроить сервер терминалов для удаленных рабочих столов (RDP) под Linux
Напомню, что у меня есть подборка русскоязычных авторских youtube каналов, которые я сам просматриваю. В комментариях подборка сильно дополнена, так что если вам интересно, то имеет смысл посмотреть и комментарии.
#видео
⇨ Cisco Ne Slabo / SEDICOMM TV
⇨ https://www.youtube.com/user/cisconeslabo/videos
Раньше не знал о и не смотрел, но сейчас подписался, буду следить. Практически все видео проходят в формате вебинара, где автор что-то рассказывает и делает в консоли. Из-за этого видео очень длинные и смотреть их все невозможно и не имеет смысла. Хотя по многим затрагиваемым темам есть статьи на сайте.
Видео выходят регулярно и на разные темы, так что имеет смысл посмотреть то, что вас конкретно интересует. Например, в ролике Как определить и предотвратить DDoS-атаку TCP SYN Flood при помощи Wireshark / tcpdump автор ставит HTTP сервер, wireshark, начинает сам себя ддосить и разбирать трафик. Он даёт теорию по установке TCP соединения, показывает, как анализировать трафик в Wireshark.
Вот ещё пример некоторых тем, которые лично меня заинтересовали:
◽ Как управлять сетевыми устройствами MikroTik RouterOS с помощью Python и Netmiko
◽ Как найти слабые места безопасности MikroTik с RouterOS Scanner (я как раз недавно рассказывал про этот сканер)
◽ Как выполнять автоматическое тестирование инфраструктуры с использованием pyATS и Genie
◽ Как настроить сервер терминалов для удаленных рабочих столов (RDP) под Linux
Напомню, что у меня есть подборка русскоязычных авторских youtube каналов, которые я сам просматриваю. В комментариях подборка сильно дополнена, так что если вам интересно, то имеет смысл посмотреть и комментарии.
#видео
Заметки по ведению канала продолжаются. Прошлые выпуски можете посмотреть по тэгу в конце поста. Сегодня расскажу про моё взаимодействие с рекламодателями.
Первое, о чём стоит рассказать, это как и где я их беру. Тут мне нечем вас удивить. Я вообще никогда и нигде никого не искал. Все рекламодатели сами меня находят, пишут в личку. Большую часть я знаю уже много лет. Сотрудничаю на постоянной основе. Временами появляются новые.
Когда я только начинал вести канал, большая часть оплат были в виде простых переводов на карту или виртуальный кошелёк. Сейчас почти все расчёты перешли на безнал через моё ИП. Процесс отбеливания финансовых потоков идёт во всех секторах экономики и рекламные платежи в интернете не стали исключением. А сейчас ещё и новый закон о рекламе приняли. Кое-кто уже на новый формат работы переходит в соответствии с законом. Это опять дополнительные хлопоты 😔.
Сейчас окно бухгалтерии 1С я вижу не реже, чем терминал сервера. Бухгалтерию я веду сам и это немного напрягает. Объем работы не позволяет кого-то нанимать, так как не выгодно экономически. Приходится всё делать самому. Хорошо хоть почти все на ЭДО перешли. Не надо ходить на почту. Ещё года 2-3 назад регулярно письма почтой отправлял. Так что все документы, налоги, отчёты я делаю и сдаю сам. Освоил простую бухгалтерию в полном объёме, хотя поначалу были косяки. У меня были и валютные счета, с ними есть нюансы, тоже во всём разобрался. С одной стороны заниматься этим не хотелось, а с другой, знания лишними не будут. Даже если в будущем я кого-то найму, то хотя бы проверять смогу и контролировать процесс.
Я всегда внимательно вычитываю рекламные посты. Они все присланные. От своего имени я не пишу их, за редким исключением, когда хорошо знаю то, что рекламирую. Если вижу, как явно можно улучшить текст, даю рекомендации. Потом вижу свои переделанные посты и в других каналах. Рекламодатели их берут за основу. Но в то же время вижу, как некоторые каналы публикуют присланные им посты с опечатками или кривой вёрсткой. Просто бахают то, что им прислали, без разбора.
Кому-то могу полностью написать текст или посоветовать структуру, так как глаз уже набит. Особенно это касается рекламы коммерческих каналов. Они чаще всего не знают и не умеют рекламироваться, а руководство поставило задачу раскрутить канал. Не знаю, зачем им это. Многие каналы откровенно не интересные. Только зря деньги на них тратят. Лучше просто готовую рекламу покупали на свои услуги.
Я проверяю все ссылки в рекламе, убеждаюсь, что верно проставлены метки, что посадочные страницы работают. Если вижу, что есть какие-то проблемы, сообщаю. Ссылка может быть с ошибкой, информация в посте может не соответствовать тому, что написано в тексте. На всё это уходит время, но я убедился на практике, что такой подход даёт свои плоды в виде хорошего отношения и впечатления от меня и моего канала. Люди чаще возвращаются повторно, благодарят за помощь и сотрудничество. Меняют компании и приходят с рекламой уже других продуктов.
Иногда вижу в комментариях к обычным постам, что я якобы рекламу пишу. Это не так. Не было ни одного исключения. Все оплаченные рекламные посты маркируются меткой без исключений. Не было ни разу, чтобы я взял деньги за пост и опубликовал его как свой. Мне это просто не нужно, репутация дороже. Предложения такие иногда получаю. За них предлагают и двойную оплату. При этом могу прорекламировать что-то от себя, просто потому что понравился продукт.
Я рекламирую только IT тематику. Всем остальным отказываю. А предложения разные бывают - банковские услуги (кредитки), недвижимость, чьи-то каналы, не связанные с IT, что-то связанное с серыми услугами, типа прокси, взломанные сервера, ключи, аккаунты игр и т.д. Много всего предлагают. Но и в IT рекламирую не всех. У меня есть черный список курсов, рекламу которых я тоже не беру, если точно знаю, что там очень низкий уровень или обман. Думаю, вы и сами такие школы знаете, они на слуху.
#развитие_канала
Первое, о чём стоит рассказать, это как и где я их беру. Тут мне нечем вас удивить. Я вообще никогда и нигде никого не искал. Все рекламодатели сами меня находят, пишут в личку. Большую часть я знаю уже много лет. Сотрудничаю на постоянной основе. Временами появляются новые.
Когда я только начинал вести канал, большая часть оплат были в виде простых переводов на карту или виртуальный кошелёк. Сейчас почти все расчёты перешли на безнал через моё ИП. Процесс отбеливания финансовых потоков идёт во всех секторах экономики и рекламные платежи в интернете не стали исключением. А сейчас ещё и новый закон о рекламе приняли. Кое-кто уже на новый формат работы переходит в соответствии с законом. Это опять дополнительные хлопоты 😔.
Сейчас окно бухгалтерии 1С я вижу не реже, чем терминал сервера. Бухгалтерию я веду сам и это немного напрягает. Объем работы не позволяет кого-то нанимать, так как не выгодно экономически. Приходится всё делать самому. Хорошо хоть почти все на ЭДО перешли. Не надо ходить на почту. Ещё года 2-3 назад регулярно письма почтой отправлял. Так что все документы, налоги, отчёты я делаю и сдаю сам. Освоил простую бухгалтерию в полном объёме, хотя поначалу были косяки. У меня были и валютные счета, с ними есть нюансы, тоже во всём разобрался. С одной стороны заниматься этим не хотелось, а с другой, знания лишними не будут. Даже если в будущем я кого-то найму, то хотя бы проверять смогу и контролировать процесс.
Я всегда внимательно вычитываю рекламные посты. Они все присланные. От своего имени я не пишу их, за редким исключением, когда хорошо знаю то, что рекламирую. Если вижу, как явно можно улучшить текст, даю рекомендации. Потом вижу свои переделанные посты и в других каналах. Рекламодатели их берут за основу. Но в то же время вижу, как некоторые каналы публикуют присланные им посты с опечатками или кривой вёрсткой. Просто бахают то, что им прислали, без разбора.
Кому-то могу полностью написать текст или посоветовать структуру, так как глаз уже набит. Особенно это касается рекламы коммерческих каналов. Они чаще всего не знают и не умеют рекламироваться, а руководство поставило задачу раскрутить канал. Не знаю, зачем им это. Многие каналы откровенно не интересные. Только зря деньги на них тратят. Лучше просто готовую рекламу покупали на свои услуги.
Я проверяю все ссылки в рекламе, убеждаюсь, что верно проставлены метки, что посадочные страницы работают. Если вижу, что есть какие-то проблемы, сообщаю. Ссылка может быть с ошибкой, информация в посте может не соответствовать тому, что написано в тексте. На всё это уходит время, но я убедился на практике, что такой подход даёт свои плоды в виде хорошего отношения и впечатления от меня и моего канала. Люди чаще возвращаются повторно, благодарят за помощь и сотрудничество. Меняют компании и приходят с рекламой уже других продуктов.
Иногда вижу в комментариях к обычным постам, что я якобы рекламу пишу. Это не так. Не было ни одного исключения. Все оплаченные рекламные посты маркируются меткой без исключений. Не было ни разу, чтобы я взял деньги за пост и опубликовал его как свой. Мне это просто не нужно, репутация дороже. Предложения такие иногда получаю. За них предлагают и двойную оплату. При этом могу прорекламировать что-то от себя, просто потому что понравился продукт.
Я рекламирую только IT тематику. Всем остальным отказываю. А предложения разные бывают - банковские услуги (кредитки), недвижимость, чьи-то каналы, не связанные с IT, что-то связанное с серыми услугами, типа прокси, взломанные сервера, ключи, аккаунты игр и т.д. Много всего предлагают. Но и в IT рекламирую не всех. У меня есть черный список курсов, рекламу которых я тоже не беру, если точно знаю, что там очень низкий уровень или обман. Думаю, вы и сами такие школы знаете, они на слуху.
#развитие_канала
Небольшой информационный пост для тех, кому интересны программы по инвентаризации оборудования. Наконец-то дошли руки собрать все заметки, которые были на канале и оформить в виде отдельной статьи. Так удобнее выбирать и оценивать продукты по сравнению с прыганием на канале по тэгам. К каждой программе есть ссылка на пост в Telegram с комментариями.
https://serveradmin.ru/top-10-programm-dlya-inventarizaczii-oborudovaniya/
Это не первая моя статья с подборкой заметок из канала. Стараюсь оформлять в посты наиболее востребованные тематики. Вот прошлые подборки:
- системы мониторинга
- программы удалённого доступа
- программы для бэкапа
По мере появления новой информации в канале, посты обновляю. Хотелось бы как-то более удобно всё это оформить, но пока так. В планах такая же подборка по helpdesk системам.
#подборка #itsm
https://serveradmin.ru/top-10-programm-dlya-inventarizaczii-oborudovaniya/
Это не первая моя статья с подборкой заметок из канала. Стараюсь оформлять в посты наиболее востребованные тематики. Вот прошлые подборки:
- системы мониторинга
- программы удалённого доступа
- программы для бэкапа
По мере появления новой информации в канале, посты обновляю. Хотелось бы как-то более удобно всё это оформить, но пока так. В планах такая же подборка по helpdesk системам.
#подборка #itsm
В официальном блоге Zabbix появилась статья о необычном применении сервера Zabbix. Мне лично даже в голову не приходило сделать то, что там описано. Речь идёт о таймере или обратном отсчёте на какое-то событие. Вы можете создать айтем с датой события и вывести на дашборд обратный отсчёт до этого события.
Реализация очень простая:
1️⃣ Создаётся айтем с типом Calculated (Вычисляемое), тип информации - числовой (целое положительное), единицы измерения - секунды (s).
2️⃣ В формуле вычисления указываем дату события в формате unixtime и вычитаем из неё текущую дату. Пример для нового года:
3️⃣ На дашборде создаём виджет со значением айтема. Отключаем отображение всего, кроме самого значений айтема.
Кому интересно посмотреть на реализацию, можете загрузить мой готовый шаблон: https://disk.yandex.ru/d/9zpWsuny9TQF6Q
Я быстренько собрал его для отслеживания количества дней до нового года. Импортируйте шаблон, подключите его к любому хосту и посмотрите в списке панелей этого хоста панель "Новый год 2023".
#zabbix
Реализация очень простая:
1️⃣ Создаётся айтем с типом Calculated (Вычисляемое), тип информации - числовой (целое положительное), единицы измерения - секунды (s).
2️⃣ В формуле вычисления указываем дату события в формате unixtime и вычитаем из неё текущую дату. Пример для нового года:
1672531200 - now()3️⃣ На дашборде создаём виджет со значением айтема. Отключаем отображение всего, кроме самого значений айтема.
Кому интересно посмотреть на реализацию, можете загрузить мой готовый шаблон: https://disk.yandex.ru/d/9zpWsuny9TQF6Q
Я быстренько собрал его для отслеживания количества дней до нового года. Импортируйте шаблон, подключите его к любому хосту и посмотрите в списке панелей этого хоста панель "Новый год 2023".
#zabbix
Периодически делаю подборки хостингов, с которыми работаю сам. Больше года не было публикации, так что решил актуализировать. Есть некоторые изменения. Сразу предупреждаю, что все ссылки реферальные. Не надо об этом писать в комментариях. Я это не скрываю, а пользы от таких комментариев нет, буду удалять.
📌 Selectel - много взаимодействую с этим хостером. Использую ровно две услуги - аренда дедиков и S3 хранилище, плюс бесплатную - DNS хостинг. За последний год есть две претензии по дедикам. Брендовые серверы стали слишком дорогие - 50% рост за год. Хотелось бы найти что-то такое же надёжное, но подешевле. Если у вас есть рекомендации, буду рад услышать.
Бюджетные дедики на десктопном железе подорожали меньше и цены устраивают, но остались конфигурации только с 2-мя дисками. Раньше были с 4-мя, у меня ещё остались несколько таких серверов, но новых уже нет. Поддержка сказала, что бюджетные дедики теперь будут только с 2-мя дисками.
По надёжности и поддержке претензий нет. Обычно всё четко, поддержка адекватно воспринимает текст, отвечает нешаблонно. Можно о чём-то договориться, попросить скидки, помочь в каком-то нестандартном вопросе (например из недавнего, перенести все услуги на другое юр. лицо). В целом, мне Selectel нравится. Раньше тут жил мой сайт на дедике, но объективно для него нет необходимости отдельного железа, только лишние расходы и хлопоты, переехал на VPS.
📌 VDSina - мой сайт сейчас живёт тут. Чего-то особенного про этого хостера сказать не могу. Разве что есть услуга, которая не везде предоставляется - возможность загрузить свой iso образ и установить систему из него. А в остальном нормальный хостер за свои деньги. Когда выбирал по соотношению цена - качество, показалось выгодным. Сам лично проблем не испытывал, в тех. поддержку ни разу не обращался.
📌 RUVDS - тут всё без изменений. У меня уже несколько лет работает виртуалка за 40 р. для VPN, полученная по одной из акций. Из услуг использую только VDS с большим диском. Очень удобно для бэкапов и мониторинга. Арендуется обычная виртуалка, например 2 CPU, 4 RAM, 20 Гб системный диск и 1 TB дополнительный диск. На неё ставится внешний мониторинг и копируются бэкапы. К сожалению, подобные виртуалки не всегда есть в наличии. Подобной услуги у других хостеров не видел. Если кто-то знает, поделитесь информацией.
📌 Simplecloud - здесь арендую виртуалки с почасовой оплатой для тестов и написания статей. Удобно взять сразу что-то мощное (создаётся виртуалка за 2-3 минуты), сделать всё, что нужно за пару часов, потратить 10 рублей и удалить виртуалку. Много готовых шаблонов vps. Например, с bitrixenv или docker. Не надо самому предварительные настройки делать. На постоянку этот хостер тоже сойдет. Цены низкие, работает стабильно. У многих заказчиков там крутятся сайты. От них и узнал о нём, когда тестировали некоторые вещи на более мощных виртуалках с почасовой оплатой.
📌 Serverspace - использовал раньше под виртулаки в США. Сейчас необходимости в них нет, осталась ровно одна под VPN. Ничего особенного про хостера сказать не могу, работает и работает. Удобно, что платишь в рублях. Еще плюс в том, что несмотря на бюджетные VPS, их можно объединять своими виртуальными сетями. По ценам сейчас кажется дороговато, но я не исследовал цены на заграничные услуги. Сейчас в них надобности нет, так что я не в теме.
📌 Ihor - многие удивятся, увидев этого хостера. В прошлом он был очень популярен за счёт низких цен и активного маркетинга, но всё растерял после борьбы за него между собственниками. ЦОД был в дауне около недели и все разбежались, в том числе и я. У меня там были и виртуалки, и дедики. Осталась ровна одна VPS для VPN. Оставил, так как к внешнему IP привык, не хотел терять. С тех пор, как всё утряслось, не было вообще никаких проблем с ней. Работает стабильно, цены по прежнему очень низкие. Так что как лоукостера могу посоветовать.
#хостинг #подборка
📌 Selectel - много взаимодействую с этим хостером. Использую ровно две услуги - аренда дедиков и S3 хранилище, плюс бесплатную - DNS хостинг. За последний год есть две претензии по дедикам. Брендовые серверы стали слишком дорогие - 50% рост за год. Хотелось бы найти что-то такое же надёжное, но подешевле. Если у вас есть рекомендации, буду рад услышать.
Бюджетные дедики на десктопном железе подорожали меньше и цены устраивают, но остались конфигурации только с 2-мя дисками. Раньше были с 4-мя, у меня ещё остались несколько таких серверов, но новых уже нет. Поддержка сказала, что бюджетные дедики теперь будут только с 2-мя дисками.
По надёжности и поддержке претензий нет. Обычно всё четко, поддержка адекватно воспринимает текст, отвечает нешаблонно. Можно о чём-то договориться, попросить скидки, помочь в каком-то нестандартном вопросе (например из недавнего, перенести все услуги на другое юр. лицо). В целом, мне Selectel нравится. Раньше тут жил мой сайт на дедике, но объективно для него нет необходимости отдельного железа, только лишние расходы и хлопоты, переехал на VPS.
📌 VDSina - мой сайт сейчас живёт тут. Чего-то особенного про этого хостера сказать не могу. Разве что есть услуга, которая не везде предоставляется - возможность загрузить свой iso образ и установить систему из него. А в остальном нормальный хостер за свои деньги. Когда выбирал по соотношению цена - качество, показалось выгодным. Сам лично проблем не испытывал, в тех. поддержку ни разу не обращался.
📌 RUVDS - тут всё без изменений. У меня уже несколько лет работает виртуалка за 40 р. для VPN, полученная по одной из акций. Из услуг использую только VDS с большим диском. Очень удобно для бэкапов и мониторинга. Арендуется обычная виртуалка, например 2 CPU, 4 RAM, 20 Гб системный диск и 1 TB дополнительный диск. На неё ставится внешний мониторинг и копируются бэкапы. К сожалению, подобные виртуалки не всегда есть в наличии. Подобной услуги у других хостеров не видел. Если кто-то знает, поделитесь информацией.
📌 Simplecloud - здесь арендую виртуалки с почасовой оплатой для тестов и написания статей. Удобно взять сразу что-то мощное (создаётся виртуалка за 2-3 минуты), сделать всё, что нужно за пару часов, потратить 10 рублей и удалить виртуалку. Много готовых шаблонов vps. Например, с bitrixenv или docker. Не надо самому предварительные настройки делать. На постоянку этот хостер тоже сойдет. Цены низкие, работает стабильно. У многих заказчиков там крутятся сайты. От них и узнал о нём, когда тестировали некоторые вещи на более мощных виртуалках с почасовой оплатой.
📌 Serverspace - использовал раньше под виртулаки в США. Сейчас необходимости в них нет, осталась ровно одна под VPN. Ничего особенного про хостера сказать не могу, работает и работает. Удобно, что платишь в рублях. Еще плюс в том, что несмотря на бюджетные VPS, их можно объединять своими виртуальными сетями. По ценам сейчас кажется дороговато, но я не исследовал цены на заграничные услуги. Сейчас в них надобности нет, так что я не в теме.
📌 Ihor - многие удивятся, увидев этого хостера. В прошлом он был очень популярен за счёт низких цен и активного маркетинга, но всё растерял после борьбы за него между собственниками. ЦОД был в дауне около недели и все разбежались, в том числе и я. У меня там были и виртуалки, и дедики. Осталась ровна одна VPS для VPN. Оставил, так как к внешнему IP привык, не хотел терять. С тех пор, как всё утряслось, не было вообще никаких проблем с ней. Работает стабильно, цены по прежнему очень низкие. Так что как лоукостера могу посоветовать.
#хостинг #подборка
Плановый топ постов за прошедший месяц. Я смотрю, вам формат понравился. Так что буду его продолжать.
📌 Больше всего просмотров:
◽️ Anydesk просит деньги и статья с альтернативами (7511)
◽️ Софт удалённого доступа с разбивкой на категории (7086)
◽️ Онлайн сервис Cheat.sh для подсказок по Linux (6689)
📌 Больше всего комментариев:
◽️ Доступность Mikrotik и его замена в РФ (146)
◽️ Магазин RuStore и бесплатные TLS серты от госуслуг (119)
◽️ Заметка про Memtest и проблемы с памятью (116)
📌 Больше всего пересылок:
◽️ Онлайн сервис Cheat.sh для подсказок по Linux (529)
◽️ Шпаргалка по консольным командам PostgreSQL (468)
◽️ Anydesk просит деньги и статья с альтернативами (365)
◽️ Централизованный доступ по SSH c ssham (359)
◽️ SSLH - мультиплексор для управления трафиком (344)
📌 Больше всего реакций:
◽️ Заметка по ведению этого Telegram канала (307)
◽️ Заметка про книгу "А я был в компьютерном городе" (242)
◽️ Магазин RuStore и бесплатные TLS серты от госуслуг (237)
◽️ Разница между аутентификацией и авторизацией (171)
#топ
📌 Больше всего просмотров:
◽️ Anydesk просит деньги и статья с альтернативами (7511)
◽️ Софт удалённого доступа с разбивкой на категории (7086)
◽️ Онлайн сервис Cheat.sh для подсказок по Linux (6689)
📌 Больше всего комментариев:
◽️ Доступность Mikrotik и его замена в РФ (146)
◽️ Магазин RuStore и бесплатные TLS серты от госуслуг (119)
◽️ Заметка про Memtest и проблемы с памятью (116)
📌 Больше всего пересылок:
◽️ Онлайн сервис Cheat.sh для подсказок по Linux (529)
◽️ Шпаргалка по консольным командам PostgreSQL (468)
◽️ Anydesk просит деньги и статья с альтернативами (365)
◽️ Централизованный доступ по SSH c ssham (359)
◽️ SSLH - мультиплексор для управления трафиком (344)
📌 Больше всего реакций:
◽️ Заметка по ведению этого Telegram канала (307)
◽️ Заметка про книгу "А я был в компьютерном городе" (242)
◽️ Магазин RuStore и бесплатные TLS серты от госуслуг (237)
◽️ Разница между аутентификацией и авторизацией (171)
#топ
В Linux есть возможность создавать разделы дисков в виде файлов. Выглядит это примерно так:
В системе появился новый диск с файловой системой ext4, смонтированный в /mnt.
На практике работа с разделами в виде файлов используется чаще всего для создания раздела swap, либо шифрованного раздела. Лично я swap вообще всегда делаю в виде файла. Мне так удобнее им управлять. Без проблем можно уменьшить или увеличить раздел. Если swap в виде полноценного раздела диска, то управление значительно усложняется, либо вообще становится невозможным. Вот пример использования swap в виде файла:
Создали в корне файл /swap размером 1 Гб, создали файловую систему swap, подключили его в качестве swap. Если надо размер изменить, то просто отключаем swap, удаляем файл, создаём новый с нужным размером.
Вот пример создания шифрованного раздела:
Подмонтировали шифрованный раздел в /mnt/secret, доступа к которому не будет, пока командой cryptsetup luksOpen он не будет расшифрован.
Больше практического применения разделов в виде файлов не знаю. Возможно для каких-то тестов пригодится. Если знаете, где ещё на практике этим можно пользоваться, поделитесь в комментариях.
#linux
# dd if=/dev/zero of=/disk1 bs=1024 count=1000000# mkfs.ext4 /disk1# mount /disk1 /mntВ системе появился новый диск с файловой системой ext4, смонтированный в /mnt.
На практике работа с разделами в виде файлов используется чаще всего для создания раздела swap, либо шифрованного раздела. Лично я swap вообще всегда делаю в виде файла. Мне так удобнее им управлять. Без проблем можно уменьшить или увеличить раздел. Если swap в виде полноценного раздела диска, то управление значительно усложняется, либо вообще становится невозможным. Вот пример использования swap в виде файла:
# dd if=/dev/zero of=/swap bs=1024 count=1000000# mkswap /swap# chmod 0600 /swap# swapon /swapСоздали в корне файл /swap размером 1 Гб, создали файловую систему swap, подключили его в качестве swap. Если надо размер изменить, то просто отключаем swap, удаляем файл, создаём новый с нужным размером.
Вот пример создания шифрованного раздела:
# dd if=/dev/zero of=/secret bs=1024 count=1000000# apt install cryptsetup# cryptsetup -y -v luksFormat /secret# cryptsetup luksOpen /secret secret# mkfs.ext4 /dev/mapper/secret# mkdir /mnt/secret# mount /dev/mapper/secret /mnt/secretПодмонтировали шифрованный раздел в /mnt/secret, доступа к которому не будет, пока командой cryptsetup luksOpen он не будет расшифрован.
Больше практического применения разделов в виде файлов не знаю. Возможно для каких-то тестов пригодится. Если знаете, где ещё на практике этим можно пользоваться, поделитесь в комментариях.
#linux
Не раз получал просьбу кратко описать современные гипервизоры. Просьба логична и понятна. Если плотно с этим не работаешь, то не очевидно, как выбрать подходящую виртуализацию. А выбирать есть из чего. Расскажу своими словами на основе опыта, что есть у меня. Это будет полностью субъективный текст в масштабах малого и среднего бизнеса, не претендующий на истину.
📌 VMware. Начну с явного и очевидного лидера, с которым у меня опыта не так много. Гипервизор от этой компании наиболее функционален и распространён в крупном бизнесе. Я видел и в среднем крякнутые версии. Есть бесплатная версия гипервизора, у которой в разное время были разные ограничения, но в любом случае она всегда была только для одиночного хоста.
➖ Главный минус VMware для меня - нельзя установить на программный рейд. И для железных рейдов надо проверять поддержку, как и для некоторого вида железа. Под капотом там модифицированный Linux, так что есть некоторые неудобства по сравнению с гипервизорами, где используется стандартный Linux дистрибутив в основе.
➕ Плюс - можно бэкапить с помощью Veeam, но только платную версию.
📌 Hyper-V. Лично мне всегда нравился и нравится этот гипервизор. В основе бесплатной версии лежит стандартный Windows Server Core. Работать с ним удобно и понятно, хотя есть некоторые нюансы, связанные с установкой оснасток на системы для управления. Частично этот вопрос закрывает Windows Admin Center, который позволяет управлять гипервизором через браузер.
➖ Cущественных минусов я даже не припомню, кроме невозможности пробросить USB устройство.
➕ Из плюсов, как я у же сказал - стандартная Windows система. Надо передать какой-то iso или файл на гипервизор - расшариваем папку и кладём файл. То же самое, если надо забрать что-то, например виртуальный диск. Поддерживает софтовые рейды, а также встроенные от intel. Хотя надёжность там так себе, я бы не советовал. Можно бэкапить с помощью Veeam.
📌 KVM. Важная ремарка, чтобы предупредить комментарии на эту тему. KVM - это модуль ядра Linux, который обеспечивает аппаратную виртуализацию и сам по себе гипервизором не является, но для простоты его так называют. Чаще всего он является частью готовых систем виртуализации, таких как RHV, oVirt, Proxmox, Qemu и т.д. Я использовал KVM с управлением через консоль с помощью virsh, с помощью графического интерфейса virt-manager. А последние года 3-4 в составе гипервизора Proxmox, когда он полностью созрел и завоевал популярность. На заре моего использования KVM это было не так.
Про плюсы и минусы KVM скажу в контексте Proxmox VE, так как использую его только в таком виде.
➕ Из плюсов это полная бесплатность и возможность собрать кластер даже в бесплатной версии. Есть встроенные средства для бэкапов, причём довольно функциональные, с инкрементными бэкапами. Под капотом почти обычный Linux, так что вы не ограничены в управлении, мониторинге, установке на mdadm и т.д. Поддерживается всё железо, которое поддерживает Linux.
➖ Из минусов лично мне больше всего не нравится, что в Veeam нет поддержки KVM.
📌 XenServer. Использовал этот бесплатный гипервизор очень плотно, пока не набрал популярность Proxmox VE. Он был один из первых с хорошим функционалом и простой настройкой.
➕ Из плюсов то, что под капотом был почти стандартный Centos со всеми вытекающими преимуществами. Также очень удобная консоль управления под Windows. Лично мне она даже сейчас кажется максимально удобной для управления среди всех известных гипервизоров. На момент использования (2010-2015 г) был бесплатный софт для бэкапа Xen с поддержкой дедупликации и инкрементных бэкапов.
➖ Минус в лицензии, которую нужно было получать отдельно. В какой-то момент поддержку старых версий бесплатных гипервизоров отключили просто закрыв этот сервис. Я с тех пор с XenServer и попрощался. Также в одной из версий пропала возможность поставить гипервизор на mdadm, что тоже отбило желание использовать этот гипервизор. Сейчас я знаю, что на базе Xen есть XCP-ng, но мне уже особо не нужно. Пробовал его, но пользоваться не стал. Устраивает Proxmox VE.
#виртуализация
📌 VMware. Начну с явного и очевидного лидера, с которым у меня опыта не так много. Гипервизор от этой компании наиболее функционален и распространён в крупном бизнесе. Я видел и в среднем крякнутые версии. Есть бесплатная версия гипервизора, у которой в разное время были разные ограничения, но в любом случае она всегда была только для одиночного хоста.
➖ Главный минус VMware для меня - нельзя установить на программный рейд. И для железных рейдов надо проверять поддержку, как и для некоторого вида железа. Под капотом там модифицированный Linux, так что есть некоторые неудобства по сравнению с гипервизорами, где используется стандартный Linux дистрибутив в основе.
➕ Плюс - можно бэкапить с помощью Veeam, но только платную версию.
📌 Hyper-V. Лично мне всегда нравился и нравится этот гипервизор. В основе бесплатной версии лежит стандартный Windows Server Core. Работать с ним удобно и понятно, хотя есть некоторые нюансы, связанные с установкой оснасток на системы для управления. Частично этот вопрос закрывает Windows Admin Center, который позволяет управлять гипервизором через браузер.
➖ Cущественных минусов я даже не припомню, кроме невозможности пробросить USB устройство.
➕ Из плюсов, как я у же сказал - стандартная Windows система. Надо передать какой-то iso или файл на гипервизор - расшариваем папку и кладём файл. То же самое, если надо забрать что-то, например виртуальный диск. Поддерживает софтовые рейды, а также встроенные от intel. Хотя надёжность там так себе, я бы не советовал. Можно бэкапить с помощью Veeam.
📌 KVM. Важная ремарка, чтобы предупредить комментарии на эту тему. KVM - это модуль ядра Linux, который обеспечивает аппаратную виртуализацию и сам по себе гипервизором не является, но для простоты его так называют. Чаще всего он является частью готовых систем виртуализации, таких как RHV, oVirt, Proxmox, Qemu и т.д. Я использовал KVM с управлением через консоль с помощью virsh, с помощью графического интерфейса virt-manager. А последние года 3-4 в составе гипервизора Proxmox, когда он полностью созрел и завоевал популярность. На заре моего использования KVM это было не так.
Про плюсы и минусы KVM скажу в контексте Proxmox VE, так как использую его только в таком виде.
➕ Из плюсов это полная бесплатность и возможность собрать кластер даже в бесплатной версии. Есть встроенные средства для бэкапов, причём довольно функциональные, с инкрементными бэкапами. Под капотом почти обычный Linux, так что вы не ограничены в управлении, мониторинге, установке на mdadm и т.д. Поддерживается всё железо, которое поддерживает Linux.
➖ Из минусов лично мне больше всего не нравится, что в Veeam нет поддержки KVM.
📌 XenServer. Использовал этот бесплатный гипервизор очень плотно, пока не набрал популярность Proxmox VE. Он был один из первых с хорошим функционалом и простой настройкой.
➕ Из плюсов то, что под капотом был почти стандартный Centos со всеми вытекающими преимуществами. Также очень удобная консоль управления под Windows. Лично мне она даже сейчас кажется максимально удобной для управления среди всех известных гипервизоров. На момент использования (2010-2015 г) был бесплатный софт для бэкапа Xen с поддержкой дедупликации и инкрементных бэкапов.
➖ Минус в лицензии, которую нужно было получать отдельно. В какой-то момент поддержку старых версий бесплатных гипервизоров отключили просто закрыв этот сервис. Я с тех пор с XenServer и попрощался. Также в одной из версий пропала возможность поставить гипервизор на mdadm, что тоже отбило желание использовать этот гипервизор. Сейчас я знаю, что на базе Xen есть XCP-ng, но мне уже особо не нужно. Пробовал его, но пользоваться не стал. Устраивает Proxmox VE.
#виртуализация
Часто писал про различные заметки из блога Zabbix по мониторингу всяких нестандартных вещей. Решил с вами поделиться некоторой информацией из своего мониторинга. Помимо стандартных метрик, типичных для серверов и сайтов, у меня есть некоторые личные наработки.
Выше три скрина. На первом мониторинг котла в бойлерной загородного дома. Когда я там не живу, грею дом на максимальной мощности ночью по ночному тарифу, потом в течении дня дом остывает. Есть триггер, если температура ниже 10 градусов. Котёл должен держать её выше. Описание настройки.
На втором мониторинг девайсов в моей квартире. То, что красное, выключено. Их можно запустить с помощью WOL, команду на который даёт Mikrotik. Мониторинг может ходить с помощью bash скрипта в Микротик по ssh и запускать сохранённые скрипты с WOL. Описание не делал.
На третьей картинке мониторинг за посещаемостью сайта через API Яндекс.Метрики и подписчиками этого телеграм канала через API Telegram.
Некоторые дашборды делал в Grafana, но по факту мне она особо не нужна. Информативности Zabbix лично мне достаточно, так что использую в основном только его. В Grafana прижился лучше всего дашборд с обзором триггеров со всех управляемых Zabbix серверов. В самом Zabbix до сих пор этого функционала нет, хотя где-то видел обещания, что это должно измениться.
#zabbix
Выше три скрина. На первом мониторинг котла в бойлерной загородного дома. Когда я там не живу, грею дом на максимальной мощности ночью по ночному тарифу, потом в течении дня дом остывает. Есть триггер, если температура ниже 10 градусов. Котёл должен держать её выше. Описание настройки.
На втором мониторинг девайсов в моей квартире. То, что красное, выключено. Их можно запустить с помощью WOL, команду на который даёт Mikrotik. Мониторинг может ходить с помощью bash скрипта в Микротик по ssh и запускать сохранённые скрипты с WOL. Описание не делал.
На третьей картинке мониторинг за посещаемостью сайта через API Яндекс.Метрики и подписчиками этого телеграм канала через API Telegram.
Некоторые дашборды делал в Grafana, но по факту мне она особо не нужна. Информативности Zabbix лично мне достаточно, так что использую в основном только его. В Grafana прижился лучше всего дашборд с обзором триггеров со всех управляемых Zabbix серверов. В самом Zabbix до сих пор этого функционала нет, хотя где-то видел обещания, что это должно измениться.
#zabbix
❓ Некоторое время назад ко мне поступил вопрос, который заинтересовал, потому что сам думал над этим ранее. Ответа я не знаю, так что прокомментировать не смогу. Будет интересно услышать ваши советы.
Есть крупный сайт на php в стандартной сваязке mysql/nginx/memcache на Дебиан. И как обычно у всех проектов такого рода логины и пароли доступа к базе данных хранятся в самих php файлах конфигурации.
Смотрю на другие php движки (wordpress, symfony), они не видят в этом проблему, но я вижу с точки зрения ИБ. Сам код сайта мало интересен хакеру, важнее данные в базе данных, логины, имейлы, платежи, транзакции и тд. Через вебшелл если хакер получил доступ к файлам сайта, также он и получил логины и пароли к базе.
Отсюда 2 вопроса:
1) возможно ли изолировать файлы конфигурации от приложения и захватившего его хакера?
2) возможно ли изолировать персональные данные пользователей в БД тоже от приложения?)
У Bitrix тоже доступ к базе в открытом виде хранится, а там есть конфигурации, к примеру, для записи в медицинские учреждения. И всё это доступно через сайт. Люди при онлайн записи оставляют персональные данные, причём в большом количестве. Залив shell на сайт, можно получить доступ к БД и всем пользовательским данным.
Я понимаю, что это можно решить как-то архитектурно, если сервис пишется с нуля. А если он на популярных движках, типа Wordpress или Bitrix, есть какие-то варианты защитить доступ к базе? Мне что-то в голову ничего не приходит. По-моему это невозможно, потому что сайту нужен доступ к базе. Как его ограничить?
#вопрос_читателя
Есть крупный сайт на php в стандартной сваязке mysql/nginx/memcache на Дебиан. И как обычно у всех проектов такого рода логины и пароли доступа к базе данных хранятся в самих php файлах конфигурации.
Смотрю на другие php движки (wordpress, symfony), они не видят в этом проблему, но я вижу с точки зрения ИБ. Сам код сайта мало интересен хакеру, важнее данные в базе данных, логины, имейлы, платежи, транзакции и тд. Через вебшелл если хакер получил доступ к файлам сайта, также он и получил логины и пароли к базе.
Отсюда 2 вопроса:
1) возможно ли изолировать файлы конфигурации от приложения и захватившего его хакера?
2) возможно ли изолировать персональные данные пользователей в БД тоже от приложения?)
У Bitrix тоже доступ к базе в открытом виде хранится, а там есть конфигурации, к примеру, для записи в медицинские учреждения. И всё это доступно через сайт. Люди при онлайн записи оставляют персональные данные, причём в большом количестве. Залив shell на сайт, можно получить доступ к БД и всем пользовательским данным.
Я понимаю, что это можно решить как-то архитектурно, если сервис пишется с нуля. А если он на популярных движках, типа Wordpress или Bitrix, есть какие-то варианты защитить доступ к базе? Мне что-то в голову ничего не приходит. По-моему это невозможно, потому что сайту нужен доступ к базе. Как его ограничить?
#вопрос_читателя
Со мной вчера история приключилась, которая навеяла воспоминания из студенческих времён, когда я только начинал осваивать свою профессию. Расскажу сначала саму историю, а потом техническую информацию, которая о ней напомнила.
💵 Свои первые деньги в качестве системного администратора я получил на 3-4-м курсе универа. Сейчас точно не помню. Дело было в студенческом общежитие, где одно из помещений сдавалось какой-то коммерческой фирме. Там работала бригада монтажников, делала ремонт. В том числе тянула СКС.
Все работы были закончены, завезли компьютеры, протянули интернет, всё включили в розетки. Интернет надо было настроить, никто не умел. Заказчик или прораб спросил меня, могу ли я настроить интернет в офисе. Я уточнил, что там имеется. Оказалось, есть выделенный канал, компьютер с Windows с двумя сетевухами. Надо настроить интернет на остальные несколько компьютеров в комнате. Судя по всему, кто-то ранее посоветовал такую конфигурацию, всё было закуплено, а настроить некому.
Я тогда уже знал, что винда умеет раздавать интернет с wan соединения в локальную сеть. Объяснил, что там пару кликов мышки только сделать, нафиг мне вообще идти. Попытался объяснить, как это сделать. На что человек ответил, что ему вообще не интересно всё это. Он готов заплатить мне денег, чтобы я пришёл и сделал. Я пришёл и все настроил за 5 минут.
Мне за это заплатили 500 р. Как сейчас помню, в то время сеанс в кинотеатре стоил 100 р., а разливное пиво там же 50 р. То есть на эти деньги я мог сходить в кино с друзьями и потом посидеть в баре. Это было очень круто. Самые лёгкие заработанные деньги на тот момент, а подрабатывать мне тогда уже доводилось разнорабочим. Тогда я проникся идеей, что знания могут приносить деньги значительно проще и быстрее.
❗️А теперь почему я об этом вспомнил. Надо было раздать доступ в интернет через Windows 10. Интернет приходил через USB LTE модем. Сделал как обычно через галочку в свойствах wan соединения: "Разрешить другим пользователям сети управлять общим доступом к подключению к Интернету". Всё сразу заработало, как и раньше.
Через какое-то время компьютер перезагрузили, интернет пропал. При этом галочка в свойствах соединения осталась. Всё проверил, настройки на месте, интернет не раздаёт. Подумал, что это из-за особенностей USB модема. Смотрел в эту сторону, но так ничего и не добился. Заметил, что если галочку убрать и поставить снова, то интернет появляется. Решил через поиск наугад поискать что-нибудь по этой теме.
Нашёл ссылку на сайте microsoft: ICS не работает после перезапуска компьютера или службы в Windows 10. Оказалось, что в Windows 10 общий доступ в интернет отключается после перезагрузки. Чтобы его включить надо:
1️⃣ Изменить тип запуска службы ICS (Общий доступ к подключению к Интернету) на автоматический.
2️⃣ Создать ключ в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedAccess, тип - DWORD (32 бита), название - EnableRebootPersistConnection, значение - 1.
После этого общий доступ к интернету после перезагрузки пропадать не будет.
❓ Зачем сделали так, ума не приложу. Зачем общий доступ отключать после перезагрузки и не предупреждать об этом? А галка в свойствах соединения так и остаётся указанной, как-будто ничего не менялось.
Кстати, я это всё настраивал у себя в доме для временного видеонаблюдения с доступом через интернет для локального и удалённого хранения записей, а также просмотра через интернет. Получилось очень удобно, даже сам не ожидал. На днях расскажу всю схему.
#windows #разное
💵 Свои первые деньги в качестве системного администратора я получил на 3-4-м курсе универа. Сейчас точно не помню. Дело было в студенческом общежитие, где одно из помещений сдавалось какой-то коммерческой фирме. Там работала бригада монтажников, делала ремонт. В том числе тянула СКС.
Все работы были закончены, завезли компьютеры, протянули интернет, всё включили в розетки. Интернет надо было настроить, никто не умел. Заказчик или прораб спросил меня, могу ли я настроить интернет в офисе. Я уточнил, что там имеется. Оказалось, есть выделенный канал, компьютер с Windows с двумя сетевухами. Надо настроить интернет на остальные несколько компьютеров в комнате. Судя по всему, кто-то ранее посоветовал такую конфигурацию, всё было закуплено, а настроить некому.
Я тогда уже знал, что винда умеет раздавать интернет с wan соединения в локальную сеть. Объяснил, что там пару кликов мышки только сделать, нафиг мне вообще идти. Попытался объяснить, как это сделать. На что человек ответил, что ему вообще не интересно всё это. Он готов заплатить мне денег, чтобы я пришёл и сделал. Я пришёл и все настроил за 5 минут.
Мне за это заплатили 500 р. Как сейчас помню, в то время сеанс в кинотеатре стоил 100 р., а разливное пиво там же 50 р. То есть на эти деньги я мог сходить в кино с друзьями и потом посидеть в баре. Это было очень круто. Самые лёгкие заработанные деньги на тот момент, а подрабатывать мне тогда уже доводилось разнорабочим. Тогда я проникся идеей, что знания могут приносить деньги значительно проще и быстрее.
❗️А теперь почему я об этом вспомнил. Надо было раздать доступ в интернет через Windows 10. Интернет приходил через USB LTE модем. Сделал как обычно через галочку в свойствах wan соединения: "Разрешить другим пользователям сети управлять общим доступом к подключению к Интернету". Всё сразу заработало, как и раньше.
Через какое-то время компьютер перезагрузили, интернет пропал. При этом галочка в свойствах соединения осталась. Всё проверил, настройки на месте, интернет не раздаёт. Подумал, что это из-за особенностей USB модема. Смотрел в эту сторону, но так ничего и не добился. Заметил, что если галочку убрать и поставить снова, то интернет появляется. Решил через поиск наугад поискать что-нибудь по этой теме.
Нашёл ссылку на сайте microsoft: ICS не работает после перезапуска компьютера или службы в Windows 10. Оказалось, что в Windows 10 общий доступ в интернет отключается после перезагрузки. Чтобы его включить надо:
1️⃣ Изменить тип запуска службы ICS (Общий доступ к подключению к Интернету) на автоматический.
2️⃣ Создать ключ в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedAccess, тип - DWORD (32 бита), название - EnableRebootPersistConnection, значение - 1.
После этого общий доступ к интернету после перезагрузки пропадать не будет.
❓ Зачем сделали так, ума не приложу. Зачем общий доступ отключать после перезагрузки и не предупреждать об этом? А галка в свойствах соединения так и остаётся указанной, как-будто ничего не менялось.
Кстати, я это всё настраивал у себя в доме для временного видеонаблюдения с доступом через интернет для локального и удалённого хранения записей, а также просмотра через интернет. Получилось очень удобно, даже сам не ожидал. На днях расскажу всю схему.
#windows #разное
Завершаю цикл заметок по развитию Telegram канала. На текущий момент это будет последняя запланированная запись, так как не знаю, о чём ещё можно рассказать по этой теме. Сегодня поговорим о статистике канала.
Я просматриваю статистику в двух местах:
1️⃣ Сервис tgstat.ru. Смотрю либо на сайте, если хочется что-то проанализировать за большие промежутки времени, либо в их боте, если хочется быстро оценить динамику.
2️⃣ Внутренняя статистика самого Telegram, которую может посмотреть владелец в информации о канале, но только через смартфон. Не понимаю такую дискриминацию десктопа. Я основную деятельность веду за компьютером. А уж анализировать статистику через смартфон совершенно неудобно.
В статистике Telegram канала есть несколько парадоксальных вещей, которые не ожидаешь. Чем чаще ты пишешь посты, тем больше у тебя будет отписок. В Telegram люди активно отписываются от каналов. Каждый ваш пост это всегда минус к подписчикам. Если притока новых людей нет, то от этого факта становится грустно. Особенно удивляются владельцы, которые давно не писали. К примеру, несколько месяцев. Первый пост приведёт к большому количеству отписок. Ты вроде стараешься, а люди уходят. Это нужно принять и как-то позаботиться о притоке читателей.
Второй момент - чем длиннее посты, тем хуже статистика просмотров и вовлечённости (ERR). А по просмотрам и вовлечённости рекламодатели оценивают каналы. Ниже какого-то порога (у каждого свой) каналы могут вообще не рассматривать, вне зависимости от числа подписчиков. У меня получается так, что статистика просмотров рекламы в среднем выше, чем самих постов. Реклама короткая, а мои посты длинные. Такой вот получается парадокс. Глядя на статистику, выходит, что рекламой интересуются больше, чем остальными постами. Конечно, в реальности это не так. Возможно, мне имеет смысл завести какую-то рубрику с короткими заметками, чтобы исправить этот перекос. Подумаю над этим.
Так что для хорошей статистики мне бы стоило писать посты короче. А я регулярно подбираюсь к лимиту Telegram в 4000 символов на пост, что наверняка случится и с этой заметкой. Хочется рассказать побольше и поподробнее, чтобы было больше пользы и смысла. С точки зрения статистики и дохода это тактика неэффективная. В этом можно убедиться, проанализировав любой крупный коммерческий канал, созданный для извлечения прибыли.
Ещё важный момент из моих наблюдений. Если публикуете много картинок в посте, то сильно проседает статистика просмотров и вовлечённости. Каждая картинка считается как отдельный пост. Получается, у вас разом куча публикаций в один момент, которая искажает среднюю статистику канала. По возможности так лучше не делать, если для вас важен доход.
В общем случае я наблюдаю за следующими метриками:
◽ Приток и отток подписчиков
◽ Число пересылок записей
◽ Средний просмотр поста за сутки и за месяц
◽ Процент подписчиков, которые читают канал
Статистика Telegram каналов по сравнению с сайтами похожа на какую-то детскую песочницу. И это, конечно, хорошо. Любой автор может начать что-то писать и добиваться хорошего результата, если у него есть к этому предрасположенность. Это значительно проще и быстрее, чем тот же классический сайт, где придётся учитывать в разы больше параметров и конкурировать с толпой матёрых сеошников. Соответственно и времени должно уйти гораздо больше для сопоставимого результата по охватам и доходу.
Но при этом, лично мне кажется, что лучшее время Telegram для авторов уже прошло. Появилось много каналов, у людей много подписок. Реклама размазалась по всем этим каналам. Читать, а не пролистывать заметки, стали гораздо реже. Я вообще отписался почти от всех каналов и перестал их читать. Сильно отвлекает и уходит много времени. В основном использую TG как инструмент для личных и рабочих переписок. Подобная история была когда-то с Livejournal, потом с VK. Пользоваться ими не перестали, но лучше времена у них уже прошли. Telegram, мне кажется, сейчас на пике, но дальше будет дорога вниз.
#развитие_канала
Я просматриваю статистику в двух местах:
1️⃣ Сервис tgstat.ru. Смотрю либо на сайте, если хочется что-то проанализировать за большие промежутки времени, либо в их боте, если хочется быстро оценить динамику.
2️⃣ Внутренняя статистика самого Telegram, которую может посмотреть владелец в информации о канале, но только через смартфон. Не понимаю такую дискриминацию десктопа. Я основную деятельность веду за компьютером. А уж анализировать статистику через смартфон совершенно неудобно.
В статистике Telegram канала есть несколько парадоксальных вещей, которые не ожидаешь. Чем чаще ты пишешь посты, тем больше у тебя будет отписок. В Telegram люди активно отписываются от каналов. Каждый ваш пост это всегда минус к подписчикам. Если притока новых людей нет, то от этого факта становится грустно. Особенно удивляются владельцы, которые давно не писали. К примеру, несколько месяцев. Первый пост приведёт к большому количеству отписок. Ты вроде стараешься, а люди уходят. Это нужно принять и как-то позаботиться о притоке читателей.
Второй момент - чем длиннее посты, тем хуже статистика просмотров и вовлечённости (ERR). А по просмотрам и вовлечённости рекламодатели оценивают каналы. Ниже какого-то порога (у каждого свой) каналы могут вообще не рассматривать, вне зависимости от числа подписчиков. У меня получается так, что статистика просмотров рекламы в среднем выше, чем самих постов. Реклама короткая, а мои посты длинные. Такой вот получается парадокс. Глядя на статистику, выходит, что рекламой интересуются больше, чем остальными постами. Конечно, в реальности это не так. Возможно, мне имеет смысл завести какую-то рубрику с короткими заметками, чтобы исправить этот перекос. Подумаю над этим.
Так что для хорошей статистики мне бы стоило писать посты короче. А я регулярно подбираюсь к лимиту Telegram в 4000 символов на пост, что наверняка случится и с этой заметкой. Хочется рассказать побольше и поподробнее, чтобы было больше пользы и смысла. С точки зрения статистики и дохода это тактика неэффективная. В этом можно убедиться, проанализировав любой крупный коммерческий канал, созданный для извлечения прибыли.
Ещё важный момент из моих наблюдений. Если публикуете много картинок в посте, то сильно проседает статистика просмотров и вовлечённости. Каждая картинка считается как отдельный пост. Получается, у вас разом куча публикаций в один момент, которая искажает среднюю статистику канала. По возможности так лучше не делать, если для вас важен доход.
В общем случае я наблюдаю за следующими метриками:
◽ Приток и отток подписчиков
◽ Число пересылок записей
◽ Средний просмотр поста за сутки и за месяц
◽ Процент подписчиков, которые читают канал
Статистика Telegram каналов по сравнению с сайтами похожа на какую-то детскую песочницу. И это, конечно, хорошо. Любой автор может начать что-то писать и добиваться хорошего результата, если у него есть к этому предрасположенность. Это значительно проще и быстрее, чем тот же классический сайт, где придётся учитывать в разы больше параметров и конкурировать с толпой матёрых сеошников. Соответственно и времени должно уйти гораздо больше для сопоставимого результата по охватам и доходу.
Но при этом, лично мне кажется, что лучшее время Telegram для авторов уже прошло. Появилось много каналов, у людей много подписок. Реклама размазалась по всем этим каналам. Читать, а не пролистывать заметки, стали гораздо реже. Я вообще отписался почти от всех каналов и перестал их читать. Сильно отвлекает и уходит много времени. В основном использую TG как инструмент для личных и рабочих переписок. Подобная история была когда-то с Livejournal, потом с VK. Пользоваться ими не перестали, но лучше времена у них уже прошли. Telegram, мне кажется, сейчас на пике, но дальше будет дорога вниз.
#развитие_канала
Расскажу, как организовал у себя в загородном доме видеонаблюдение. Я вообще не занимаюсь этой темой, не знаком с ней, так что разбираться пришлось почти с нуля. В итоге совершенно случайно получилось то, что устроило на 100%.
Купил сначала камеру HiWatch DS-I456, потом по ошибке пару HiWatch DS-I456Z. У последних есть оптический зум со встроенным моторчиком. Мне не надо было, но штука понравилось. Можно зумить ЖК экран электро котла и смотреть показатели.
Взял очень старый системник на Core 2 Quad с 4 Гб оперативной памяти. Установил туда ОС Windows и бесплатную программу iVMS-4200 от Hikvision. Это не самая свежая версия. Взял именно её, потому что она работает с бесплатным сервером для хранения видеоархива Storage Server 3.2 (Storage Server(V3.2.0.10_S).exe). Именно такая связка программ позволяет бесплатно смотреть и хранить архив. В более поздних версиях локальное хранение архива вынесено в отдельную платную опцию. Бесплатно можно только смотреть.
Купил обычный POE свитч, подключил к нему все камеры и компьютер. Настроил видеонаблюдение. Смотреть его можно было только локально. Подключил USB модем, купил для него симку Yota, настроил интернет. Расшарил с Windows интернет на камеры, на них настроил Hik-Connect. Это бесплатный сервис, который позволяет напрямую получить картинку с камеры через интернет.
С помощью Hik-Connect можно в режиме реального времени просматривать камеры со смартфона. Помимо этого вы можете на любое другое устройство установить iVMS-4200, залогиниться в Hik-Connect и просматривать добавленные туда камеры. А если установить тужа же Storage Server, то и записывать с них картинку.
Что имею в итоге:
1️⃣ Возможность локально смотреть и хранить записи с камер.
2️⃣ Просмотр камер через мобильное приложение.
3️⃣ Просмотр и запись камер в любом другом месте, где установлен iVMS-4200 и Storage Server. То есть хранение не только локальное, но и внешнее.
И всё это бесплатно. Я оплатил только камеры. Отдельно хочу отметить, что это временная схема. В доме не живу, видеонаблюдение нужно было быстро собрать минимальными усилиями, чтобы понимать, что происходит в бойлерной (вся инженерка запущена) и на самом участке.
#разное
Купил сначала камеру HiWatch DS-I456, потом по ошибке пару HiWatch DS-I456Z. У последних есть оптический зум со встроенным моторчиком. Мне не надо было, но штука понравилось. Можно зумить ЖК экран электро котла и смотреть показатели.
Взял очень старый системник на Core 2 Quad с 4 Гб оперативной памяти. Установил туда ОС Windows и бесплатную программу iVMS-4200 от Hikvision. Это не самая свежая версия. Взял именно её, потому что она работает с бесплатным сервером для хранения видеоархива Storage Server 3.2 (Storage Server(V3.2.0.10_S).exe). Именно такая связка программ позволяет бесплатно смотреть и хранить архив. В более поздних версиях локальное хранение архива вынесено в отдельную платную опцию. Бесплатно можно только смотреть.
Купил обычный POE свитч, подключил к нему все камеры и компьютер. Настроил видеонаблюдение. Смотреть его можно было только локально. Подключил USB модем, купил для него симку Yota, настроил интернет. Расшарил с Windows интернет на камеры, на них настроил Hik-Connect. Это бесплатный сервис, который позволяет напрямую получить картинку с камеры через интернет.
С помощью Hik-Connect можно в режиме реального времени просматривать камеры со смартфона. Помимо этого вы можете на любое другое устройство установить iVMS-4200, залогиниться в Hik-Connect и просматривать добавленные туда камеры. А если установить тужа же Storage Server, то и записывать с них картинку.
Что имею в итоге:
1️⃣ Возможность локально смотреть и хранить записи с камер.
2️⃣ Просмотр камер через мобильное приложение.
3️⃣ Просмотр и запись камер в любом другом месте, где установлен iVMS-4200 и Storage Server. То есть хранение не только локальное, но и внешнее.
И всё это бесплатно. Я оплатил только камеры. Отдельно хочу отметить, что это временная схема. В доме не живу, видеонаблюдение нужно было быстро собрать минимальными усилиями, чтобы понимать, что происходит в бойлерной (вся инженерка запущена) и на самом участке.
#разное
Делюсь с вами простым и бесплатным мониторингом, который можно использовать как внешний в дополнение к основному - ping.gl.
Включить мониторинг любого IP или сайта по доменному имени можно в консоли с помощью curl:
В ящик zeroxzed@gmail.com придёт письмо с предложением активировать или удалить мониторинг сайта https://serveradmin.ru, который будет осуществляться с помощью простых icmp запросов. Интервал запросов - 10 секунд. Если 6 запросов были неудачны, то выполняется ещё одна двойная проверка со второго хоста. Если и там проверка будет неудачной, отправляется оповещение на email.
На каждый ящик можно активировать 10 проверок. Исходники сервиса доступны на github, так что вы можете запустить свою локальную копию подобного мониторинга. Он написан на go, в репозитории показан пример запуска.
Я проверил работу этого мониторинга. Он живой и вполне себе работоспособен.
⇨ Сайт / Исходники
#мониторинг
Включить мониторинг любого IP или сайта по доменному имени можно в консоли с помощью curl:
# curl ping.gl/zeroxzed@gmail.com/https://serveradmin.ruВ ящик zeroxzed@gmail.com придёт письмо с предложением активировать или удалить мониторинг сайта https://serveradmin.ru, который будет осуществляться с помощью простых icmp запросов. Интервал запросов - 10 секунд. Если 6 запросов были неудачны, то выполняется ещё одна двойная проверка со второго хоста. Если и там проверка будет неудачной, отправляется оповещение на email.
На каждый ящик можно активировать 10 проверок. Исходники сервиса доступны на github, так что вы можете запустить свою локальную копию подобного мониторинга. Он написан на go, в репозитории показан пример запуска.
Я проверил работу этого мониторинга. Он живой и вполне себе работоспособен.
⇨ Сайт / Исходники
#мониторинг
Один читатель поделился со мной простым и бесплатным решением по конвертации почтовых ящиков из формата хранения Exchange (EDB) в обычные PST, когда сам Exchange по какой-то причине уже не работает. В свете последних событий с импортозамещением, мне кажется, это может быть полезной информацией.
Если поискать подобные конвертеры, то найдётся множество платных решений. Но есть и бесплатный способ. Можно взять бесплатный Veeam Backup & Replication Community Edition или триальную версию Veeam Backup & Replication. В его составе есть утилита Veeam Explorer for Microsoft Exchange, которая может открыть базу данных Exchange и выгрузить из неё отдельные ящики или директории с письмами в PST файлы.
Такой вот простой и неочевидный способ. Подробности в документации к утилите.
#exchange #windows
Если поискать подобные конвертеры, то найдётся множество платных решений. Но есть и бесплатный способ. Можно взять бесплатный Veeam Backup & Replication Community Edition или триальную версию Veeam Backup & Replication. В его составе есть утилита Veeam Explorer for Microsoft Exchange, которая может открыть базу данных Exchange и выгрузить из неё отдельные ящики или директории с письмами в PST файлы.
Такой вот простой и неочевидный способ. Подробности в документации к утилите.
#exchange #windows
